Dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwera proxy aplikacji w identyfikatorze Entra firmy Microsoft
Microsoft Entra ID ma usługę serwera proxy aplikacji, która umożliwia użytkownikom dostęp do aplikacji lokalnych przez zalogowanie się przy użyciu konta Microsoft Entra. Aby dowiedzieć się więcej na temat serwera proxy aplikacji, zobacz Co to jest serwer proxy aplikacji?. Ten samouczek przygotowuje środowisko do użycia z serwerem proxy aplikacji. Gdy środowisko będzie gotowe, użyj centrum administracyjnego firmy Microsoft Entra, aby dodać aplikację lokalną do dzierżawy.
W tym samouczku zostały wykonane następujące czynności:
- Zainstaluj i zweryfikuj łącznik na serwerze z systemem Windows i zarejestruje go za pomocą serwera proxy aplikacji.
- Dodaj aplikację lokalną do dzierżawy firmy Microsoft Entra.
- Sprawdź, czy użytkownik testowy może zalogować się do aplikacji przy użyciu konta Microsoft Entra.
Wymagania wstępne
Aby dodać aplikację lokalną do identyfikatora Entra firmy Microsoft, potrzebne są następujące elementy:
- Subskrypcja Microsoft Entra ID P1 lub P2.
- konta administratora aplikacji.
- Zsynchronizowany zestaw tożsamości użytkowników z katalogiem lokalnym. Możesz też utworzyć je bezpośrednio w dzierżawach firmy Microsoft Entra. Synchronizacja tożsamości umożliwia usłudze Microsoft Entra ID wstępne uwierzytelnianie użytkowników przed udzieleniem im dostępu do opublikowanych aplikacji proxy aplikacji. Synchronizacja udostępnia również niezbędne informacje o identyfikatorze użytkownika do przeprowadzania logowania jednokrotnego.
- Informacje na temat zarządzania aplikacjami w usłudze Microsoft Entra można znaleźć w temacie Wyświetlanie aplikacji dla przedsiębiorstw w firmie Microsoft Entra.
- Informacje na temat logowania jednokrotnego (SSO) można znaleźć w temacie Understand single sign-on (Omówienie logowania jednokrotnego).
Instalowanie i weryfikowanie łącznika sieci prywatnej firmy Microsoft Entra
Serwer proxy aplikacji używa tego samego łącznika co Dostęp Prywatny Microsoft Entra. Łącznik jest nazywany łącznikiem sieci prywatnej firmy Microsoft Entra. Aby dowiedzieć się, jak zainstalować i zweryfikować łącznik, zobacz Jak skonfigurować łączniki.
Uwagi ogólne
Publiczne rekordy DNS dla punktów końcowych serwera proxy aplikacji Entra firmy Microsoft są łańcuchowymi rekordami CNAME wskazującymi rekord A. Skonfigurowanie rekordów w ten sposób zapewnia odporność na uszkodzenia i elastyczność. Łącznik sieci prywatnej firmy Microsoft Entra zawsze uzyskuje dostęp do nazw hostów przy użyciu sufiksów *.msappproxy.net
domeny lub *.servicebus.windows.net
. Jednak podczas rozpoznawania nazw rekordy CNAME mogą zawierać rekordy DNS z różnymi nazwami hostów i sufiksami. Ze względu na różnicę należy upewnić się, że urządzenie (w zależności od konfiguracji — serwer łącznika, zapora, wychodzący serwer proxy) może rozpoznać wszystkie rekordy w łańcuchu i zezwalać na połączenie z rozpoznanym adresem IP. Ponieważ rekordy DNS w łańcuchu mogą być zmieniane od czasu do czasu, nie możemy udostępnić żadnych rekordów DNS listy.
W przypadku instalowania łączników w różnych regionach należy zoptymalizować ruch, wybierając najbliższy region usługi w chmurze serwera proxy aplikacji z każdą grupą łączników. Aby dowiedzieć się więcej, zobacz Optymalizowanie przepływu ruchu za pomocą serwera proxy aplikacji Firmy Microsoft Entra.
Jeśli twoja organizacja używa serwerów proxy do łączenia się z Internetem, musisz skonfigurować je na potrzeby serwera proxy aplikacji. Aby uzyskać więcej informacji, zobacz Work with existing on-premises proxy servers (Praca z istniejącymi lokalnymi serwerami proxy).
Dodawanie aplikacji lokalnej do identyfikatora Entra firmy Microsoft
Dodawanie aplikacji lokalnych do identyfikatora Entra firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Wybierz pozycję Nowa aplikacja.
Wybierz przycisk Dodaj aplikację lokalną, który zostanie wyświetlony w połowie strony w sekcji Aplikacje lokalne. Alternatywnie możesz wybrać pozycję Utwórz własną aplikację w górnej części strony, a następnie wybrać pozycję Konfiguruj serwer proxy aplikacji pod kątem bezpiecznego dostępu zdalnego do aplikacji lokalnej.
W sekcji Dodawanie własnej aplikacji lokalnej podaj następujące informacje o aplikacji:
Pole Opis Nazwa/nazwisko Nazwa aplikacji, która jest wyświetlana w Moje aplikacje i w centrum administracyjnym firmy Microsoft Entra. Tryb konserwacji Wybierz, czy chcesz włączyć tryb konserwacji i tymczasowo wyłączyć dostęp dla wszystkich użytkowników do aplikacji. Wewnętrzny adres URL Ten adres URL umożliwia dostęp do aplikacji w sieci prywatnej. Możesz wprowadzić określoną ścieżkę na serwerze zaplecza, która zostanie opublikowana, podczas gdy pozostała część serwera pozostanie nieopublikowana. W ten sposób możesz opublikować wiele lokacji jako różne aplikacje na tym samym serwerze, nadając im różne nazwy i reguły dostępu.
W przypadku publikowania ścieżki upewnij się, że zawiera ona wszystkie niezbędne obrazy, skrypty i arkusze stylów dla aplikacji. Na przykład jeśli lokalizacja aplikacji tohttps://yourapp/app
, a lokalizacja używanych obrazów tohttps://yourapp/media
, opublikuj elementhttps://yourapp/
jako ścieżkę. Wewnętrzny adres URL nie musi być stroną docelową widoczną dla użytkowników. Aby uzyskać więcej informacji, zobacz Set a custom home page for published apps (Ustawianie niestandardowej strony głównej dla opublikowanych aplikacji).Zewnętrzny adres URL Ten adres umożliwia użytkownikom dostęp do aplikacji spoza sieci. Jeśli nie chcesz używać domyślnej domeny serwera proxy aplikacji, przeczytaj o domenach niestandardowych na serwerze proxy aplikacji Firmy Microsoft Entra. Wstępne uwierzytelnianie Jak serwer proxy aplikacji weryfikuje użytkowników przed udzieleniem im dostępu do aplikacji.
Microsoft Entra ID — serwer proxy aplikacji przekierowuje użytkowników do logowania się przy użyciu identyfikatora Entra firmy Microsoft, który uwierzytelnia swoje uprawnienia do katalogu i aplikacji. Zalecamy zachowanie tej opcji jako domyślnej, aby można było korzystać z funkcji zabezpieczeń firmy Microsoft Entra, takich jak dostęp warunkowy i uwierzytelnianie wieloskładnikowe. Identyfikator Entra firmy Microsoft jest wymagany do monitorowania aplikacji za pomocą Microsoft Defender dla Chmury Apps.
Przekazywanie — użytkownicy nie muszą uwierzytelniać się względem identyfikatora Entra firmy Microsoft w celu uzyskania dostępu do aplikacji. Można jednak na zapleczu skonfigurować wymagania dotyczące uwierzytelniania.Grupa łączników Łączniki umożliwiają przetwarzanie zdalnego dostępu do aplikacji, a grupy łączników pozwalają klasyfikować łączniki i aplikacje według regionu, sieci lub przeznaczenia. Jeśli nie masz jeszcze żadnych grup łączników, Twoja aplikacja zostanie przypisana do grupy Domyślne.
Jeśli nawiązywanie połączeń w aplikacji odbywa się za pomocą elementów WebSocket, wszystkie łączniki w grupie muszą być w wersji 1.5.612.0 lub nowszej.W razie potrzeby skonfiguruj dodatkowe ustawienia. W przypadku większości aplikacji należy pozostawić domyślne wartości tych ustawień.
Pole opis Limit czasu aplikacji zaplecza Opcję tę ustaw na wartość Długi tylko wtedy, gdy uwierzytelnianie aplikacji i łączenie się z nią trwa długo. Domyślnie limit czasu aplikacji zaplecza wynosi 85 sekund. Po ustawieniu zbyt długiego limitu czasu zaplecza zostanie zwiększony do 180 sekund. Użyj pliku cookie tylko HTTP Wybierz, aby pliki cookie serwera proxy aplikacji zawierały flagę HTTPOnly w nagłówku odpowiedzi HTTP. W przypadku korzystania z usług pulpitu zdalnego zachowaj opcję niezaznaczone. Używaj trwałego pliku cookie Pozostaw opcję niezaznaczone. To ustawienie jest używane tylko dla aplikacji, które nie mogą udostępniać plików cookie między procesami. Aby uzyskać więcej informacji na temat ustawień plików cookie, zobacz Ustawienia plików cookie na potrzeby uzyskiwania dostępu do aplikacji lokalnych w usłudze Microsoft Entra ID. Przekształć adresy URL w nagłówkach Zachowaj wybraną opcję, chyba że aplikacja wymaga oryginalnego nagłówka hosta w żądaniu uwierzytelniania. Przekształć adresy URL w treści aplikacji Nie wybieraj opcji, chyba że linki HTML są zakodowane na stałe w innych aplikacjach lokalnych i nie używają domen niestandardowych. Aby uzyskać więcej informacji, zobacz Łączenie tłumaczenia z serwerem proxy aplikacji.
Wybierz, czy planujesz monitorować tę aplikację za pomocą usługi Microsoft Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Configure real-time application access monitoring with Microsoft Defender dla Chmury Apps and Microsoft Entra ID (Konfigurowanie monitorowania dostępu aplikacji w czasie rzeczywistym za pomocą Microsoft Defender dla Chmury Apps i Microsoft Entra ID).Weryfikowanie certyfikatu TLS/SSL zaplecza Wybierz, aby włączyć weryfikację certyfikatu TLS/SSL zaplecza dla aplikacji. Wybierz Dodaj.
Testowanie aplikacji
Wszystko jest gotowe do sprawdzenia, czy aplikacja została dodana poprawnie. W poniższych krokach dodasz konto użytkownika do aplikacji i spróbuj zalogować się.
Dodawanie użytkownika testowego
Przed dodaniem użytkownika do aplikacji sprawdź, czy konto użytkownika ma już uprawnienia dostępu do aplikacji z sieci firmowej.
Aby dodać użytkownika testowego:
- Wybierz pozycję Aplikacje dla przedsiębiorstw, a następnie wybierz aplikację, którą chcesz przetestować.
- Wybierz pozycję Wprowadzenie, a następnie wybierz pozycję Przypisz użytkownika do testowania.
- W obszarze Użytkownicy i grupy wybierz pozycję Dodaj użytkownika.
- W obszarze Dodaj przypisanie wybierz pozycję Użytkownicy i grupy. Zostanie wyświetlona sekcja User and groups (Użytkownicy i grupy ).
- Wybierz konto, które chcesz dodać.
- Wybierz pozycję Wybierz, a następnie wybierz pozycję Przypisz.
Testowanie logowania
Aby przetestować uwierzytelnianie w aplikacji:
- W aplikacji, którą chcesz przetestować, wybierz pozycję Serwer proxy aplikacji.
- W górnej części strony wybierz pozycję Testuj aplikację , aby uruchomić test w aplikacji i sprawdzić, czy nie występują problemy z konfiguracją.
- Najpierw uruchom aplikację, aby przetestować logowanie do aplikacji, a następnie pobierz raport diagnostyczny, aby przejrzeć wskazówki dotyczące rozwiązywania wykrytych problemów.
Aby uzyskać informacje na temat rozwiązywania problemów, zobacz Rozwiązywanie problemów z serwerem proxy aplikacji i komunikatów o błędach.
Czyszczenie zasobów
Nie zapomnij usunąć żadnych zasobów utworzonych w tym samouczku po zakończeniu pracy.
Rozwiązywanie problemów
Dowiedz się więcej o typowych problemach i sposobach ich rozwiązywania.
Tworzenie aplikacji/ustawianie adresów URL
Sprawdź szczegóły błędu, aby uzyskać informacje i sugestie dotyczące sposobu naprawiania aplikacji. Większość komunikatów o błędach zawiera sugerowaną poprawkę. Aby uniknąć typowych błędów, sprawdź:
- Jesteś administratorem z uprawnieniami do tworzenia aplikacji serwera proxy aplikacji
- Wewnętrzny adres URL jest unikatowy
- Zewnętrzny adres URL jest unikatowy
- Adresy URL zaczynają się od protokołu HTTP lub https i kończą się ciągiem "/"
- Adres URL powinien być nazwą domeny, a nie adresem IP
Podczas tworzenia aplikacji powinien zostać wyświetlony komunikat o błędzie w prawym górnym rogu. Możesz również wybrać ikonę powiadomienia, aby wyświetlić komunikaty o błędach.
Przekazywanie certyfikatów dla domen niestandardowych
Domeny niestandardowe umożliwiają określenie domeny zewnętrznych adresów URL. Aby używać domen niestandardowych, należy przekazać certyfikat dla tej domeny. Aby uzyskać informacje na temat używania domen niestandardowych i certyfikatów, zobacz Praca z domenami niestandardowymi w serwerze proxy aplikacji firmy Microsoft Entra.
Jeśli występują problemy z przekazywaniem certyfikatu, poszukaj komunikatów o błędach w portalu, aby uzyskać dodatkowe informacje na temat problemu z certyfikatem. Typowe problemy z certyfikatami obejmują:
- Wygasły certyfikat
- Certyfikat jest z podpisem własnym
- Brak klucza prywatnego certyfikatu
Komunikat o błędzie jest wyświetlany w prawym górnym rogu podczas próby przekazania certyfikatu. Możesz również wybrać ikonę powiadomienia, aby wyświetlić komunikaty o błędach.